Faciliter la conformité RGPD : le fichier GDPR.txt

Dans le cadre de mon bénévolat pour Framasoft, je suis amené à travailler sur la conformité de l’association au Règlement Général sur la Protection des Données (RGPD).

Ça fait des années qu’on essaye d’avancer sur le sujet, mais il faut bien reconnaître que, vu le nombre de services et d’activités que l’on gère, c’est la galère. D’ailleurs, si ça vous étonne, on a une entrée claire dans la FAQ.

On a tout de même bien avancé depuis octobre dernier, accompagné‧es que nous sommes par stella.coop. Notre liste des traitements est sur pied, mais il nous reste à compléter les fiches des différents traitements (on en documente d’ailleurs l’avancement dans notre wiki public). Il nous faut donc passer sur chaque service, déterminer les finalités des traitements, lister les données récupérées, vérifier si elles sont obligatoires, leur visibilité, les services tiers utilisés, etc.

Face à cette montagne, une idée me trotte dans la tête depuis un moment : que les développeurs et développeuses de logiciels maintiennent elles-mêmes un document synthétisant les informations utiles dans le cadre du RGPD. Cela faciliterait le travail de celles et ceux qui proposent des instances de leur logiciel, mutualiserait le travail ingrat et limiterait les erreurs.

 

Illustration par Dooffy, licence CC0

 

Comme on n’est jamais aussi bien servi que par soi-même, j’ai imaginé un fichier pour faciliter l’échange d’informations autour des questions liées au RGPD : le fichier GDPR.txt.

Le principe est fort simple : le fichier GDPR.txt se place à la racine du code source d’un projet logiciel — à la manière d’un fichier README — et contient l’ensemble des informations utiles concernant la collecte des données effectuée par ledit logiciel.

Le but est que les hébergeuses et hébergeurs de services puissent se baser sur des informations fiables pour créer leur propre liste de traitements de données. Car oui, attention : il ne suffit pas de fournir un fichier GDPR.txt pour se conformer au RGPD ! Ce fichier n’existe qu’à titre informatif.

Le format, quant à lui, est très simple. Si vous êtes développeur ou développeuse d’un logiciel libre, je vous invite à jeter un œil au site qui présente le format du fichier : gdpr-txt.org (en anglais). Vous pouvez également y contribuer sur Framagit.

En conclusion, j’aimerais que les acteurs et actrices du logiciel libre s’emparent de ce fichier et inventent encore d’autres manières d’informer les utilisateurs et utilisatrices sur la manière dont sont utilisées leurs données. Il serait dommage qu’après avoir bataillé pendant des années pour une meilleure réglementation autour de nos données personnelles, nous nous satisfaisions de l’état actuel. Soyons clairs : les GAFAM se torchent toujours autant avec nos données ; seulement, ils s’en lavent les mains grâce à une conformité RGPD de façade. C’est à nous désormais de placer la barre encore plus haut.